HTTPS - man in the middle - certifikáty podvržené zaměstnavatelem

[ssl]

Spíše právní, než technický dotaz, přinejmenším zanadávání si.

Zaměstnavatel nám začal číst šifrované spojení - https stránkám podvrhuje vlastní certifikáty a staví se tak do pozice man in the middle intrudera.

Měl by někdo fundovaný názor na to, zda je to legální?

 

[Reklama]

[Sten]

http://www.epravo.cz/top/clanky/sledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316.html

Přesné vymezení záleží na mnoha detailech (je k tomu interní směrnice? jak konkrétně je to implementované? kdo má přístup k dešifrované komunikaci?), ale obecně, pokud neděláte s utajovanými skutečnostmi, tak to velmi pravděpodobně porušuje § 316 odst. 2 zákoníku práce.

[MP]

V práci to máme taky. Nepoužívá se to pro přístup na finanční nebo zdravotní služby. Myslím, že pokud nejde o osobní údaje, tak to asi může být použito.
Pokud má někdo pocit, že něco schází, může se ozvat. Myslím, že tam je přidaná i nějaká služba pro nákup akcií v USA, kromě obvyklých bank apod.

[JardaP .]

By mne zajimalo: Upozornil vas zamestnavatel na to, ze komunikaci sleduje?

[j]

Jedna vec je pravni - minimalne to smrdi (pruserem pro zamestnavatele) druha vec je, proc tam delas, a treti, kdyz uz lezes na net v praci, proc aspon nepouzijes vlastni HW? Do toho ti svuj cert asi vnutej tezko.

A bacha na to, existujou uz i vyroky soudu, ktery smirovani zamestnancu (byt v konkretnim pripade) akceptovaly. K smichu pak je to, ze treba dochazku kamerou sledovat nesmis ... lol.

[Reklama]

[ha.run]

ssh -fqND 1080 remote.host
a v prehliadaci si nastavis proxy protokol na socks5 localhost:1080
ak mate prilis inteligentnu forward proxy cez ktoru musis preliezt do internetu, tak pustaj ssh server na remote.host na 443, maj DNS zaznam na fqdn a pouzivaj corkscrew.

[tomasfuk]

Jo, zaměstnavatel nám taky podvrhuje a filtruje. O sledování jsme informování a použití počítače pro jiné než pracovní účely stejně není povoleno, takže k úniku nějakých osobních informací zaměstnance dojít nemůže, neboť v počítači nemají co dělat.

Problém je spíše v tom, že některé stránky takto prostě nefungují i když nejsou přímo zablokované, jsou rozbité nebo je prohlížeč odmítne zobrazit kvůli HTST...

V počítači si pochopitelně nic nenastavím a svůj PC si taky nosit nemůžu, nehledě na to, že bych se do internetu stejně nepřipojil...

Bezpečnost to pochopitelně nijak moc nezvyšuje, protože když budu chtít nějaký informace vynést, tak je stejně vynesu. I kdybych si je měl vložit se do fóra...

Každý takovýto případný boj se zaměstnavatelem stejně nikam nevede, buď tě vyhodí (nebo ti nedaj novou smlouvu), budou tě prudit abys odešel sám, nebo se nic nezmění, nebo to bude ještě horší, kdy například nasadí jen whitelist...

[Sten]

Jo, zaměstnavatel nám taky podvrhuje a filtruje. O sledování jsme informování a použití počítače pro jiné než pracovní účely stejně není povoleno, takže k úniku nějakých osobních informací zaměstnance dojít nemůže, neboť v počítači nemají co dělat.

Tohle není tak jednoduché. Zákaz kontroly zaměstnanců bez závažného důvodu je daný zákonem (§ 316 odst. 2 zákoníku práce). Zaměstnavatel i se zákazem používat techniku pro jiné než pracovní účely (který je btw. dán přímo zákonem a interní předpis nepotřebuje) tedy může sbírat jen takové údaje, které jsou nezbytně nutné pro účel sběru (viz příslušná judikatura Nejvyššího soudu). Pokud by sledoval, zda zaměstnanci neporušují daný zákaz, tak by třeba sběr URL adres nebo hlaviček e-mailů byl legální, ale sběr obsahu by už nejspíš neobstál (tak je to alespoň naznačené v odkazované judikatuře). Z toho důvodu je i MITM na šifrované spojení na hraně (místo MITM by šlo použít mnohem méně invazivní SOCKS nebo HTTP CONNECT) a hodně, hodně bude záležet na tom, co se tam vlastně dělá a kdo k tomu má přístup. Což by měla detailně popisovat příslušná interní směrnice.

[andy]

A nepoužívá se to třeba kvůli tomu, aby proxy mohla odhalit nějaké ty viry a jiná podezřelá spojení? Firewally typicky tuhle vlastnost mají a k tomu logují nějaká ta URL, která tam prošla. Obávám se, že tohle asi celkem legální bude a z hlediska bezpečnosti i docela opodstatněné.

[Lol Phirae]

z hlediska bezpečnosti i docela opodstatněné.

Z hlediska bezpečnosti je to naopak zcela katastrofální.

[Sten]

A nepoužívá se to třeba kvůli tomu, aby proxy mohla odhalit nějaké ty viry a jiná podezřelá spojení? Firewally typicky tuhle vlastnost mají a k tomu logují nějaká ta URL, která tam prošla. Obávám se, že tohle asi celkem legální bude a z hlediska bezpečnosti i docela opodstatněné.

Ta podmínka je, že by to samé nemělo jít udělat jinak s vynaložením podobně velkého úsilí. Kontrolu virů ale může stejně tak dobře dělat i počítač pracovníka (což by nejspíš nebylo bráno jako plošná kontrola), a instalovat na všechny počítače kořenový certifikát (+ nastavení důvěry) nebo antivirus vyžaduje IMO podobně velké úsilí, takže to bude opravdu hodně záviset na tom, jak konkrétně je to implementované jako MITM a proč zrovna tak. Tohle je hodně šedá zóna a mnoho firem spíše spoléhá na to, že se to nikdy nedostane k soudu (či vůbec neví, že by to mohlo být nelegální).

[aaa]

Technicky to legalne byt moze, ale pochybujem, ze zamestnavatel uchovava data tak, aby to bolo legalne pri okrajovych pripadoch pouzivania.

O sledování jsme informování a použití počítače pro jiné než pracovní účely stejně není povoleno, takže k úniku nějakých osobních informací zaměstnance dojít nemůže, neboť v počítači nemají co dělat.

Moze, lebo pracovne ucely su sirsie. Z pracovneho PC sa pristupuje k viacerym neverejnym informaciam:

• o zdravotnom stave - ked zamestnavatel posiela zamestnancov na zdravotne prehliadky
• o prijmoch, rodinnych pomeroch - pri vyplnani hlaseni pre urady
• o firemnej kreditke vratane cisla, CVV a platnosti
• o sukromnej kreditke, ked zamestnanci nemaju firemnu

a k vsetkemu spominanemu by mali existovat append-only audit logy, kto k tomu kedy pristupoval. A to sa pri beznom fungovani nerobi.

[Cek]

Technicky to legalne byt moze, ale pochybujem, ze zamestnavatel uchovava data tak, aby to bolo legalne pri okrajovych pripadoch pouzivania.

O sledování jsme informování a použití počítače pro jiné než pracovní účely stejně není povoleno, takže k úniku nějakých osobních informací zaměstnance dojít nemůže, neboť v počítači nemají co dělat.

Moze, lebo pracovne ucely su sirsie. Z pracovneho PC sa pristupuje k viacerym neverejnym informaciam:

• o zdravotnom stave - ked zamestnavatel posiela zamestnancov na zdravotne prehliadky
• o prijmoch, rodinnych pomeroch - pri vyplnani hlaseni pre urady
• o firemnej kreditke vratane cisla, CVV a platnosti
• o sukromnej kreditke, ked zamestnanci nemaju firemnu

a k vsetkemu spominanemu by mali existovat append-only audit logy, kto k tomu kedy pristupoval. A to sa pri beznom fungovani nerobi.

Co je to za blbost? Kdyz zamestnavatel posila zamestnance k doktorovi, tak zamestnanec prinese zpatky papir a preda ho dal - co by to delalo na zamestnancove pocitaci?
Jaky vyplnovani hlaseni pro urady? To dela tak max mzdova ucetni nebo HR na jednom pocitaci, rozhodne to nedela kazdej zamestnanec sam.
Firemni kreditka jako osobni udaj? :-DDDD To asi neprojde nikde....
Soukroma kreditka nema na pracovnim pocitaci co delat - pocitac se ma pouzivat k prac. ucelum a ne k nakupovani darku na vanoce. Pokud kupuje neco pracovniho, plati to uctarna, at uz prevodem nebo kartou.

A k prvni vete: Jasne, kdyz se obecne reknou nejake okrajove pripady pouziti, tak se neda nic namitat, protoze se pod tim da predstavit absolutne cokoliv.....

[aaa]

Co je to za blbost? Kdyz zamestnavatel posila zamestnance k doktorovi, tak zamestnanec prinese zpatky papir a preda ho dal - co by to delalo na zamestnancove pocitaci?

Niektori doktori v tejto pokrocilej dobe vynasli dokonca aj elektronicku formu komunikacie.

Jaky vyplnovani hlaseni pro urady? To dela tak max mzdova ucetni nebo HR na jednom pocitaci, rozhodne to nedela kazdej zamestnanec sam.

Danove priznanie sa inde nepodava?
Par citlivejsich udajov je aj v ESTA a podobnych otravnych ziadostiach.

Firemni kreditka jako osobni udaj? :-DDDD To asi neprojde nikde....

Je osobny v zmysle, v akom su osobne ostatne udaje. Vo firme k nim mozno moze mat niekto pristup, ale nemoze mat k tomu pristup hociaky tydyt ked sa mu zachce. U kreditky preto, ze za utratu na kreditke som zodpovedny ja.

Soukroma kreditka nema na pracovnim pocitaci co delat - pocitac se ma pouzivat k prac. ucelum a ne k nakupovani darku na vanoce. Pokud kupuje neco pracovniho, plati to uctarna, at uz prevodem nebo kartou.

Toto je cenovo efektivnejsie aj u mensich firiem, kde zamestnanec nedostane kreditku.
Uctaren by musela vediet, ako sa prihlasit mojim premiovym uctom u aeroliniek alebo v sieti hotelov, zaregistrovat ma do hotelu alebo letenku a zaplatit za mna. To by potrebovali vediet prihlasovacie udaje, aby nekupovali noc v hoteli za 900USD alebo letenku za 2000USD, ked to ako clen klubov vyhod mam noc v rovnakom hoteli za 120USD alebo mi staci najlacnejsia letenka za 500USD + free upgrade na business class.

A k prvni vete: Jasne, kdyz se obecne reknou nejake okrajove pripady pouziti, tak se neda nic namitat, protoze se pod tim da predstavit absolutne cokoliv.....

Preto tam mam to vysvetlenie v druhej casti.

[Unknown]

ak mate prilis inteligentnu forward proxy cez ktoru musis preliezt do internetu, tak pustaj ssh server na remote.host na 443, maj DNS zaznam na fqdn a pouzivaj corkscrew.

Tohle dneska odhali kazda druha corporate proxy....